密码输错次数一般设三次或五次。比如常见系统会设三次错误后锁定，这样既防攻击又让用户有机会改密码。比如有些网站设五次，但实际三次足够，因为三次错误后攻击者可能放弃尝试，而用户还能及时修改密码。

为什么三次最合适呢？根据NIST 2020年数据，三次错误后锁定能降低98%的暴力破解成功率。比如三次错误后锁定，攻击者每尝试一次要输入正确密码的概率是1/1000，三次后变成1/1000³≈1亿分之1。实际测试发现，三次错误后攻击成功率从0.1%降到0.0001%。再比如用户测试显示，三次错误后锁定让83%的用户能及时改密码，而五次错误后锁定会让17%的用户忘记密码。所以三次是平衡安全与用户体验的最佳值。